VMware NSX 4.2.2 发布，新增功能概览

VMware NSX 4.2.2 - 网络安全虚拟化平台

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化。

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

VMware NSX 4.2.2 | 08 MAY 2025 | Build 24730888

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

NSX 概览

VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台，能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX，无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行，都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似，可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型，从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络，利用由 NSX 或范围广泛的第三方集成（从新一代防火墙到高性能管理解决方案）生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后，可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。

✅ 主要优势

• 通过自动化将网络置备时间从数天缩短至数秒并提高运维效率。
• 利用工作负载级微分段、工作负载级高级威胁防护和精细安全机制保护应用。
• 在不同的数据中心和原生公有云内，以及跨不同的数据中心和原生公有云之间，以独立于物理网络拓扑的方式，对网络和安全策略进行统一管理。
• 能够详尽显示应用拓扑状况、自动生成安全策略建议以及持续进行流监控。
• 采用内置的全分布式威胁防护引擎，支持对东西向流量的高级横向威胁防护。

✅ 应用场景

• 安全性
  NSX 有助于在私有云和公有云环境中高效实现对应用的零信任安全保护。无论目标是锁定关键应用、以软件方式创建逻辑隔离区 (DMZ)，还是减小虚拟桌面环境的受攻击面，NSX 都可以通过微分段在单个工作负载级别定义和强制实施网络安全策略。
• 多云网络
  NSX 提供网络虚拟化解决方案，可跨异构站点以一致的方式实现网络连接和安全性，从而精简多云运维。因此，NSX 可支持多种多云应用场景，从无缝数据中心扩展到多数据中心池化，再到工作负载快速移动。
• 自动化
  通过将网络和安全服务虚拟化，NSX 可以突破手动管理式网络和安全服务及策略的瓶颈，从而可以更快速地置备和部署全栈应用。NSX 与云管理平台和其他自动化工具（例如 vRealize Automation/vRealize Automation Cloud、Terraform、Ansible 等）原生集成，开发人员和 IT 团队能够按照业务要求的速度置备、部署和管理应用。
• 云原生应用的网络连接和安全性
  NSX 为容器化应用和微服务提供集成式全栈网络连接和安全性，从而可以在开发新应用时针对每个容器提供精细策略。这可为微服务实现容器间的原生 L3 网络连接和微分段功能，并跨新旧应用提供网络连接和安全策略的端到端可见性。

✅ VMware NSX 版本

• Professional 版
  适用于需要敏捷的自动化网络连接及微分段功能，并且可能具有公有云端点的企业。
• Advanced 版
  适用于以下企业：需要 Professional 版功能及高级网络和安全服务，与范围广泛的生态系统集成，且可能拥有多个站点。
• Enterprise Plus 版
  适用于这样的企业：需要 NSX 提供的最先进的功能 (sysin)，以使用 vRealize Network Insight 执行网络运维、通过 VMware HCX® 实现混合云移动性，以及借助 NSX Intelligence 实现流量可见性和安全运维。
• Remote Office Branch Office (ROBO) 版
  适用于要对远程办公室或分支机构中的应用进行网络连接和安全虚拟化改造的企业。

新增功能

VMware NSX 4.2.2 | 08 MAY 2025 | Build 24730888

NSX 4.2.2 提供了多种新功能，为私有云的虚拟化网络和安全性带来新功能。亮点包括以下重点领域的新功能和增强功能：

• vDefend 防火墙 引入了一种全新的高性能 Turbo 模式 (SCRX)，可提升分布式 IDS/IPS 和分布式防火墙的 L7 应用检测性能。此检测引擎利用确定性的资源分配和 ESXi Hypervisor 内的更高数据包处理管道，在显著降低 CPU 和内存消耗的情况下提升性能。
• 增强数据路径 (EDP) 的多项改进，包括新增脚本以减少启用群集 EDP 时的手动用户干预、提高稳定性和兼容性 (sysin)，以及减少生命周期操作的影响。
• 边缘平台增强，包括新的重新部署选项和改进的 Edge 监控 API 文档。
• 证书分析器解析器 (CARR) 脚本现在支持验证计算管理器 (vCenter) 证书。该脚本执行 NSX 自签名证书的完整性检查和恢复操作，并可替换已过期或即将过期的证书。
• 平台安全增强，包括为 Cloud Admin Partner 提供的预定义角色、增加的 LDAP 和 Active Directory 组数量，以及对 FIPS 140-3 的支持。

网络

二层网络

• EDP 开关模式启用自动化脚本（适用于 VCF 5.2.x 和 NSX 4.2.2）

  • NSX Manager 管理设备中新增了 enable_uens 脚本，以减少启用群集 EDP Standard（标准模式）时的手动用户干预。
  • 该脚本按顺序执行主机更改：进入维护模式、将开关模式更新为 EDP、退出维护模式，最后将更改同步到群集传输节点配置文件。
  • 脚本位于 /opt/vmware/migration-coordinator-tomcat/bin/uens-adoption/config，可从相同位置执行。
  • 可在单个群集上使用该脚本，且需要从 JSON 文件中提供输入 (sysin)。详细说明见脚本的自述文件。
  • 该脚本可帮助 NSX 4.x 版本，因为通过传输节点配置文件设置将数据路径模式更改为 EDP Standard 会立即更改 ESXi 主机，可能导致每个主机数秒的网络中断。

• EDP Standard（标准模式）长期支持 (LTS) 可维护性改进

  • NSX 4.2.2 是增强数据路径在所有 VMware Cloud Foundation 部署和工作负载域类型（包括 NSX Edge 群集和常规计算群集（VI 工作负载域））上的推荐版本。
  • EDP 旨在最大化网络处理性能并降低网络处理的资源成本。

  • NSX 4.2.2 可维护性亮点：

    • 在大规模部署中提升 EDP 性能。
    • 在 vSAN 部署中提升 EDP 性能。
    • 在分布式防火墙部署中提升 EDP 性能。
    • 通过驱动程序仿真扩展 EDP 网卡适配器兼容性。
    • EDP 兼容容器部署（NCP、Antrea）。

• 提高生命周期操作期间的 EDP Standard 数据路径正常运行时间

  • NSX 4.2.2 系统在进行生命周期操作（如更改模式）时，将从数十秒减少至不足 3 秒。

边缘平台

• 重新部署 Edge UI 增强

  • 在 UI 中引入了 “重新部署 Edge” 按钮，支持无缝地重新部署 Edge 节点。
  • 该操作触发文档中定义的重新部署 API：NSX Edge VM Redeploy API。

• 改进的 NSX Edge 监控文档

  • 改进后的 NSX Edge 监控 API 文档提供了更清晰和全面的指导。

  • 更新后的文档包括：

    • 所有相关 API 调用的详细说明，包括请求 / 响应示例。
    • 返回监控数据的逐字段详细描述。
    • 所有可用指标的深入解释，包括每个指标代表的含义、计算方式以及在实际场景中的解释方法。

安全性

• 防火墙

  • 分布式防火墙采用新的高性能 Turbo 模式 (SCRX) 进行 L7 应用过滤。
  • NSX Manager 支持在 Extra Large（超大） NSX Manager 上提供更多的防火墙服务。详情请参见 “配置最大值”。
  • 防火墙分组支持在 Large（大）和 Extra Large（超大） NSX Manager 上拥有更多的有效成员。

• IDS/IPS

  • 分布式 IDS/IPS 使用新的高性能 Turbo 模式 (SCRX)，实现显著的性能提升。

    • 根据 ESXi 主机的流量配置文件 (sysin)，新 SCRX 引擎可实现高达 9 Gbps 的分布式 IDS/IPS 检测。
    • 分布式 IDS/IPS 性能和其他操作指标可在 Security Services Platform 实时查看。

  • Turbo 模式兼容性要求

    • 新的 SCRX 引擎对 ESXi 兼容性以及安装 / 升级要求有严格限制。
    • 详细信息请参见 KB 文章 396277。

• 安全情报

  • 支持 Security Services Platform (SSP)

    • 所有在 NSX Application Platform (NAPP) 上提供的安全情报功能均可在 SSP 上使用。
    • NSX Application Platform 将于 2026 年 5 月退役。

平台安全

• 证书管理

  • 证书分析器解析器 (CARR) 脚本

    • 强烈建议在升级 NSX Manager 之前运行 CARR 脚本。
    • 运行 CARR 脚本的目的是确保传输节点 (TN) 证书在 825 天内不会过期。
    • 如果任何 TN 证书在 825 天内即将过期，可再次运行 CARR 脚本替换证书。

• 基于角色的访问控制 (RBAC)

  • 新增预定义 RBAC 角色：Cloud Partner Admin

    • 新增的预定义角色专为需要访问网络和安全服务但不得访问 NSX 许可证视图的云合作伙伴设计。

• LDAP 身份验证

  • 增加的 LDAP 和 Active Directory 组支持

    • 最大支持的 LDAP 组数量从 20 增加到 500。

• 平台认证

  • FIPS 140-3 验证

    • NSX 4.2.2 现在采用联邦信息处理标准 (FIPS) 140-3 加密模块。
    • NSX 默认在所有部署中以 FIPS 合规标准运行。

下载地址

VMware NSX 4.2.2 | 08 MAY 2025

• 请访问：https://sysin.org/blog/vmware-nsx-4/

更多：VMware 产品下载汇总